Netfilter性能动态改善方法的研究与实现

Linux作为一个广泛使用且开放源码的操作系统,具有优异的网络性能,在其上布置防火墙有一个可靠的基石.特别是逐渐成熟和完善的Netfilter框架是一个非常优秀的防火墙架构.因此,越来越多的人选择Linux作为其防火墙开发平台.但是,随着规则的增加,性能成为Netfilter的一个瓶颈.提出了一种类似"冒泡算法"的算法及其实现,它能够有效改善Netfilter防火墙性能.这种算法能通过防火墙实际运行的环境自适应的动态改变Netfilter的规则匹配顺序和钩子函数调用顺序,很大程度上提高了防火墙包过滤的性能.这种算法的时间复杂度是O(1).     

Netfilter性能动态改善方法的研究与实现

Linux作为一个广泛使用且开放源码的操作系统,具有优异的网络性能,在其上布置防火墙有一个可靠的基石。特别是逐渐成熟和完善的Nerfilter框架是一个非常优秀的防火墙架构。因此,越来越多的人选择Linux作为其防火墙开发平台。但是,随着规则的增加,性能成为Netfilter的一个瓶颈。提出了一种类似“冒泡算法”的算法及其实现,它能够有效改善Netfilter防火墙性能。这种算法能通过防火墙实际运行的环境自适应的动态改变Netfilter的规则匹配顺序和钩子函数调用顺序,很大程度上提高了防火墙包过滤的性能。这种算法的时间复杂度是O（1）。     

Linux下家庭网关的改进

作为家庭网关的防火墙,Linux内核2.4系列中自带的Netfilter在硬件平台处理速度比较慢、对网络的吞吐量要求却很高的情况下成为速度的瓶颈.通过重写Netfilter的Net模块,修改数据转发,给出了一种改进Netfilter的方法.经过测试证明,该方法提高了家庭网关防火墙的性能.     

基于Linux的双出口透明网关的实现

在总结基于Linux 2.4内核的Netfilter/Iptables功能框架的单出口的透明网关基础上,介绍了Netfilter功能框架、Iptables的包过滤、网络地址转换功能和静态路由技术,最后给出了一个校园网环境下的双出口透明网关的实例,提出了双出口透明网关的设计方法.     

嵌入式Linux下防火墙系统的实现

为了构建安全可靠的网络,对Linux内核防火墙结构Netfilter的实现机制进行了深入的研究和分析。在此基础上,结合嵌入式Linux系统开发流程,阐述了嵌入式Linux系统的Netfilter/IPtables防火墙功能。最后,给出了嵌入式Linux防火墙在实验室网络中的具体应用。     

基于Netfilter的数据包捕获技术研究

在Linux下通常的数据包捕获系统,通过Libpcab函数框架实现,而在该体系下实现的包捕获存在着一些缺陷。在Linux2.4版本后,Linux使用了Netfilter框架,便于用户构建自己的防火墙。在该框架下,通过注册钩子函数,可以轻松实现数据包的捕获。本文通过研究Linux2.4后版本内核中的网络框架Netfilter,给出了在该框架下对数据包进行捕获的设计方案,并集中解决了数据信息提取和使用Netlink实现内核与用户态通信的关键问题。     

基于双栈移动IPv6的业务流切换方法

在RFC 5555协议基础上,设计并实现一套双栈移动IPv6环境下以流为粒度的多接口业务流切换方法。利用Linux的XFRM框架、Netfilter框架以及策略路由技术,给出一种多接口移动终端在IPv4和IPv6网络中进行业务流重定向的管理方案,为上层的智能切换判决算法提供一种高效的切换实施方式。实验结果表明,该方法在双栈移动IPv6环境下,能够充分利用网络资源,提高传输效率。     

Squid工作原理及其代理配置

分析了squid缓冲代理体系及其基本思想．并以Linux环境下结合Netfilter/iptables实现透明代理为例．给出完整的配置方案。最后．对squid性能优化进行了讨论。     

AODV算法在视频监控系统中的应用与研究

在Linux嵌入式系统平台上,针对按需距离矢量路由协议AODV算法在无线Mesh网络的应用开发问题,本文采用比较有代表性的UU实现方法,提出了基于Netfilter功能框架的AODV协议在Linux平台上实现的具体方法,在真实的无线网络环境下实现AODV路由协议。将AODV应用开发到嵌入式Linux平台上,并在此基础上用IEEE802.11b标准的网卡组建一个无线自组织网络,从而扩展IEEE802.11的组网方式。最后,在Linux操作系统上实现了AODV路由协议,并通过视频监控系统验证了AODV协议实现的功能与相应的协议标准中所定义的基本功能的一致性。     

基于PC架构Linux NAT性能优化

随着校园网规模的扩大,有必要采用NAT技术来解决所获分配合法IP地址有限的问题。首先,该文阐述了采用Netfilter/iptables技术来实现NAT的缘由,并分析了此项技术在Linux内核2.4中的一个重要新特性,即“连接跟踪”;接着,着重讨论了提高基于配有Linux操作系统的普通PC机上的NAT性能的方法,包括重编内核,防止空对话及修改tcp连接超时设定;最后,通过一组系统状态监测曲线图证明这样一个廉价系统作为一些昂贵的路由设备的替代是稳定可靠的。     

ZigBee树路由协议的Linux实现

为了降低嵌入式节点的功耗,本文研究了ZigBee的低功耗树路由协议,提出了将树路由协议移植到Linux平台的解决方案。利用Linux网络协议栈中的Netlink和Netfilter架构,实现了Linux平台的树路由协议。     

Linux下基于Netfilter防火墙应用研究

Linux提供的基于内核Netfilter框架的防火墙,是一个功能强大、扩展性强的网络安全框架,可以实现一种性价比较高的安全方案。基于Linux作系统的网络安全框架Netfilter原理的分析,结合一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法。     

网关计费中数据处理策略研究

针对目前校园网的计费需求以及常用的两种计费方式的缺陷,提出了一种基于Linux的Netfilter框架的计费系统解决方案,并对数据处理过程中的一系列策略问题进行了理论分析和实验比较.通过在Linux内核级设置过滤器,优化过滤规则,实现了一种适应性广、稳定性强、高效的网关计费系统.     

动态源路由协议(DSR)在Linux下的实现

动态源路由协议(DynamicSourceRoutingProtocol,DSR)是由移动节点组成的多跳无线AdHoc网络犤3,4犦中一种简单和行之有效的路由协议犤1犦。协议允许任一结点动态发现到达AdHoc网络中其它任意节点的路由,所有的路由信息由DSR自动地进行维护。每个DSR头部都携带了到达目的节点的完整的路由跃点列表(hoplist),中间节点只需简单地对分组进行转发即可。同时DSR协议完全按需(on-demand)的特性可以显著减少路由协议的开销,节省了电池能量,减少了分组冲突的概率并减少了潜在的大规模的路径更新信息的传播。使用DSR协议可以实现AdHoc网络的完全的自组织和自配置而无需任何已经存在的网络基础设施。论文详细论述了DSR路由协议在Linux操作系统下借助Netfilter的实现。     

基于移动代理的卫星网路由性能研究

通过仿真方法分析代理系统中影响基于移动代理卫星网路由算法性能的关键因素,给出了拟仿真的路由算法及其NS2仿真方案,详细阐述了使用Grasshopper、JADE和Linux、运行于局域网环境、支持代理的卫星网仿真平台构建方案,包括仿真平台的系统结构、卫星节点功能实体、路由代理交互接口、星际链路仿真模块等。通过与NS2中的仿真结果对比,得出了高链路时延下的移动代理迁移效率是影响路由算法性能的关键因素,并通过代理系统间横向比较,给出了路由算法开发以及仿真平台构建过程中代理系统的选择建议。